如何通过将 ISA 防火墙与 Windows Server 2003 一同使用将公司连接到 Internet

文章翻译 文章翻译
文章编号: 323387 - 查看本文应用于的产品
本文已归档。它按“原样”提供,并且不再更新。
展开全部 | 关闭全部

本文内容

概要

本分步指南介绍了在现有的基于 Windows 的网络中拥有少于 255 台工作站的小型企业如何通过使用 Microsoft Internet Security Acceleration (ISA) 防火墙安全服务,将计算机连接到 Internet。

安装 ISA Server

要安装 ISA 防火墙,需具备一台安装有两个网络适配器的计算机。其中一个适配器必须连接到内部网络,而另一个必须连接到您的 Internet 服务提供商 (ISP)。ISP 能帮助您建立该连接。通过阻止 Internet 上的外部用户访问企业内部网络 (Intranet) 或计算机上的机密信息,防火墙可以充当 Intranet 和 Internet 之间的安全屏障。

规划安装

  • 无论是独立计算机、作为 Microsoft Windows NT 域成员的计算机还是作为 Active Directory 域成员的计算机,您都可以运行 ISA Server Standard Edition(标准版)。
  • 要实现最高的安全性,应在独立计算机上运行 ISA Server。
  • 网络适配器的配置涉及到设置连接 Internet 的外部接口和连接基于 Windows 的网络的内部接口。
  • 您的 ISP 应提供静态 IP 地址、子网掩码、默认网关以及一台或多台域名系统 (DNS) 服务器。在连接到 ISP 的适配器的 TCP/IP 设置中,输入该信息。某些 ISP 更愿意使用动态主机配置协议 (DHCP) 指定该信息,这样做也可以。
  • 您需要在内部适配器上键入一个永久地址和内部网络的适当子网掩码(不要在该接口上使用 DHCP)。该默认网关应始终为空。ISA Server 计算机只需要一个默认网关:即在一个或多个外部接口上配置的网关。在内部适配器上配置默认网关会引起 ISA 发生故障。

配置服务器的网络适配器

  1. 单击开始,指向控制面板,然后单击网络连接
  2. 右键单击您的 Internet 连接,单击重命名,然后键入 Internet 连接

    这样做有助于您记住哪块网卡连接到了 Internet。
  3. 右键单击该 Internet 连接,然后单击属性
  4. 常规选项卡上,单击以选中“连接后在通知区域显示图标”复选框。

    只要该接口进行数据传输,任务栏上的小图标就会闪烁。
  5. 清除“Microsoft 网络客户端”和“Microsoft 网络的文件和打印机共享”复选框。

    清除这些复选框后,ISA Server 将自动阻止这些协议,从而可以节省内存。
  6. 双击 Internet 协议 (TCP/IP),然后执行以下步骤之一:
    • 如果您的 ISP 使用 DHCP 分配 IP 地址,则在 Internet 协议 (TCP/IP) 属性对话框中,单击“自动获得 IP 地址”和“自动获得 DNS 服务器地址”选项。继续执行步骤 7。
    • 如果必须手动输入 ISP 的 IP 地址信息,则在 Internet 协议 (TCP/IP) 属性对话框中,单击以选中“使用下面的 IP 地址”,然后键入您的 ISP 提供的地址、子网掩码和默认网关信息。单击以选中“使用下面的 DNS 服务器地址”复选框,然后键入 ISP 提供的一个或多个 DNS 服务器的名称。
  7. 单击高级,然后单击 DNS 选项卡。单击以清除“在 DNS 中注册此连接的地址”复选框。
  8. 然后单击 WINS 选项卡。在 NETBIOS 设置下,单击“禁用 TCP/IP 上的 Netbios”。

配置网络的内部接口

  1. 单击开始,指向控制面板,然后单击网络连接
  2. 右键单击您的本地连接,单击重命名,然后键入局域网
  3. 右键单击“局域网”,然后单击属性
  4. 常规选项卡上,单击以选中“连接后在任务栏中显示图标”复选框。
  5. 如果“Microsoft 网络客户端”和“Microsoft 网络的文件和打印机共享”复选框未选中,单击以将其选中。
  6. 双击 Internet 协议 (TCP/IP),然后单击以选中“使用下面的 IP 地址”复选框。
  7. 在“IP 地址”框中,键入符合内部网络地址编排方案的内部 IP 地址和子网掩码。让“默认网关”保留为空。在“首选 DNS 服务器”中,键入网络的一台或多台 DNS 服务器的 IP 地址。

    注意:对于少于 255 台计算机的小型网络,如果使用 Windows 2000 默认 TCP/IP 配置,并且网络中没有 DNS 服务器,则计算机依赖于自动专用 IP 地址分配 (APIPA)。Microsoft 建议您不要使用 APIPA,并开始在客户端工作站上使用静态地址。网络中的每台计算机需要一个唯一的 IP 地址。在配置 ISA Server 的内部接口时,您必须键入静态地址。请使用 192.168.0.254,子网掩码为 255.255.255.0。让默认网关框保留为空。在“DNS 服务器”字段中键入您的 ISP 的 DNS 服务器。

    现在,在每台客户端上配置静态地址:
    1. 在第一台计算机上,使用地址 192.168.0.1,子网掩码为 255.255.255.0,默认网关为 192.168.0.254。对于 DNS,键入 ISP 的一台(或多台)DNS 服务器的名称。
    2. 在第二台计算机上,使用地址 192.168.0.2,然后使用与以上项目符号所标记的步骤中相同的值。除地址外,其他值始终保持相同,只需为每台额外的计算机递增地址值。维护一个指示哪些计算机使用哪些地址的列表。
  8. 得到提示时,重新启动计算机。

安装 Microsoft Internet Security and Acceleration Server

使用 ISA Server 安装向导

  1. 在 Windows 资源管理器中,双击以打开 CD-ROM 驱动器。

    注意:“ISA Server 安装向导”会自动启动,除非关闭了“自动插入通知”功能。如果向导无法自动启动,导航至 CD-ROM 的根目录,然后双击以运行 ISAAutorun.exe 文件。单击安装 ISA Server 开始安装。
  2. 在“欢迎”屏幕上,单击继续。在相应的框中键入产品的标识号。您可以在 CD-ROM 盒的背面找到该号码。
  3. 请阅读许可协议,然后单击我同意
  4. 单击“典型安装”作为安装类型。这将安装 ISA 服务和管理工具。
  5. 单击“防火墙模式”。ISA 停止计算机上的相关服务。
  6. 为 ISA 配置本地地址表 (LAT)。配置 LAT 时需要仔细考虑。您有两种选择:构建 LAT 或者使用安装程序向导。您可以根据以下条件做出选择:
    • 如果知道内部网络使用的子网,请在这里输入。

      警告:不要单击建立表按钮!如果单击,所输入的 LAT 信息将被覆盖。
    • 如果不知道本地子网,请单击建立表按钮。“ISA 安装向导”将根据计算机的路由表确定本地子网。
      • 如果未选中“添加以下专用范围”复选框,请单击以将其选中。
      • 如果未选中“基于 Windows Server 2003 路由表增加地址范围”,请单击以将其选中。
      • 单击以清除包含与服务器的外部 (Internet) 接口相对应的子网的复选框。
      • 单击以选中包含与服务器的内部 (LAN) 接口相对应的子网的复选框。
  7. 当安装程序完成时,启动“管理员入门向导”,然后在阅读下一部分之后完成该向导。
ISA Server 安装后的状态将阻止所有从内部对 Internet 的访问和从 Internet 对内部的访问。这是一件好事!请记住,您是在设置防火墙。防火墙的主要功能是在两个网络之间充当检查点。ISA Server 的行为是阻止任何策略未特别允许的内容。

配置 ISA 安装后的状态

要对访问策略的以下两个组件进行配置,以便客户端能够访问 Internet,请注意以下事项:
  • 必须至少配置一个站点和内容规则,在其中指定用户可访问哪些站点以及可检索哪些类型的内容。
  • 必须至少配置一个协议规则,以便指定允许哪些类型的通信通过 ISA Server。
安装完成后,ISA 创建一个默认站点和内容规则,允许所有客户端随时访问所有站点上的所有内容。但是,这对于要开始在 Internet 上冲浪的用户来说是不够的:您仍未定义协议规则。没有它,将不允许通过 ISA 的通信。

入门向导

  1. 在“入门向导”中,单击配置协议规则。协议规则列表显示在 Microsoft 管理控制台 (MMC) 中。
  2. 单击“创建协议规则”。键入名称,如“所有协议”。
  3. 针对该规则的操作,单击允许(这是默认值)。
  4. 针对协议列表,单击“所有 IP 通信”(这是默认值)。
  5. 针对计划,单击始终(这是默认值)。
  6. 针对客户端类型,单击“任何请求”(这是默认值)。
  7. 单击完成

创建关于用户如何连接到 Internet 的策略

通过使用所有(已定义)协议,ISA Server 不仅仅允许所有客户端随时访问所有站点上的所有内容。在 ISA 中,可以创建用于准确定义用户如何访问 Internet 的访问策略。

ISA 访问策略由以下三个元素组成:
  • 站点和内容规则。
  • 协议规则。
  • IP 数据包筛选器。
这些规则又由以下策略元素组成:
  • 计划。
  • 目标集。
  • 客户端地址集。
  • 协议定义。
  • 内容组。
在试图使用 ISA 策略定义复杂内容之前,应对依存关系有所了解。下表描述各策略元素对应的策略规则:
收起该表格展开该表格
站点和内容规则协议规则
目标集协议定义
内容组计划
计划客户端地址集
客户端地址集

从 ISA 计算机访问 Internet

要从 ISA 计算机本身访问 Internet 该如何做呢?如果想从 ISA 计算机本身访问特定 Web 站点,则已创建的协议规则、站点和内容规则仅应用于位于 ISA 服务器之后的客户端。当客户端希望访问 Internet 时(假设规则允许该请求),ISA 就为该连接请求创建一个动态数据包筛选器。但是,如果想在 ISA 计算机上访问 Internet,则必须按照将产生的通信的种类创建静态数据包筛选器。例如,若要访问一个 Web 站点,请按照下列步骤操作:
  1. 在 ISA 管理中,展开服务器,展开服务器名称,单击访问策略,然后单击 IP 数据包筛选器
  2. 单击“创建数据包筛选器”以启动向导。
  3. 将数据包筛选器命名为 Web 访问
  4. 单击“允许数据包传输”,然后单击自定义
  5. 单击 TCP 作为 IP 协议,针对方向单击出站,针对本地端口单击“所有端口”,最后,针对远程端口单击“固定端口”。在端口号框中键入 80
  6. 为 ISA 服务器上的每个外部接口选择默认 IP 地址。
  7. 单击“所有远程计算机”。
现在可以从 ISA 服务器上访问 Web 站点了。Microsoft 建议您重复这些步骤,但是使用 SSL 访问作为第 3 步中的名称,并在第 5 步中使用 443(而不是 80),因为有些 Web 服务器使用 SSL 协议。若要允许使用更多的协议,请按照上述步骤操作,但在第 3 步中要使用相应名称,在第 5 步中要使用相应数量的项目。

疑难解答

最常见的问题是没有完全理解策略元素、策略规则和数据包筛选器之间的交互。如果尝试执行早先创建的通用访问策略(通过执行本文中的“创建关于用户如何连接到 Internet 的策略”部分中的过程)以外的操作,则必须确保您已经完全理解了“安装 Microsoft Internet Security and Acceleration Server”部分的内容。此外,还可以参阅 Microsoft Internet Security and Acceleration Server 的联机帮助。创建一些策略,然后对其进行测试。另外,如果了解 ISA Server 的词汇和组件交互,将更容易理解访问策略。

注意:ISA Server 不在 LAT 中的任何地址和外界之间建立直接连接。您必须创建某种能够描述您希望允许的访问策略。

参考

有关对 ISA Server 进行疑难解答的帮助,请参见 Microsoft Internet Security and Acceleration Server 的联机帮助。

属性

文章编号: 323387 - 最后修改: 2014年2月27日 - 修订: 7.2
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Internet Security and Acceleration Server 2000 标准版
  • Microsoft Windows Small Business Server 2003 Premium Edition
关键字:?
kbnosurvey kbarchive kbhowto kbhowtomaster kbnetwork KB323387
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com